컴퓨터 부팅마저 제어하는 랜섬웨어 '골든아이' 등장

'골든아이' 랜섬웨어 감염화면 (제공=하우리)

[아시아경제 이민우 기자] 보안전문기업 하우리는 최근 이메일의 첨부파일을 통해 MBR 영역을 감염시키는 랜섬웨어 '골든아이(GoldenEye)'가 유포되고 있어 사용자들의 주의가 필요하다고 9일 밝혔다.

MBR 영역은 PC에 전원이 들어왔을 때 가장 먼저 프로그램을 읽어들이는 부분이다. MBR의 정보가 파괴되면 PC의 부팅조차 이뤄지지 않는다.

이번에 발견된 '골든아이' 랜섬웨어는 이메일의 첨부파일로 전달된 악성 문서파일의 매크로를 통해 감염된다. 감염 시 부팅과 관련된 MBR 영역의 코드를 변조시킨다. 이후 악성코드에 의해 재부팅이 일어나며 노란 해골 모양의 감염 화면과 복호화 키 비용을 지불할 것을 요구한다.

'골든아이; 랜섬웨어 유포하는 매크로가 포함된 엑셀 문서 (제공=하우리)

'골든아이'는 과거에 발견된 MBR 감염형 랜섬웨어 '펫야(PETYA)'와 유사한 형태다. MBR 영역의 원본 부트 코드를 XOR 방식으로 인코딩해 MBR 영역의 특정 주소에 저장하므로 복구는 가능하다.

한편 하우리는 '골든아이'를 탐지할 수 있는 '바이로봇' 제품의 비즈니스 에디션을 출시하고 고객 감사 이벤트를 진행하고 있다.

최민주 하우리 보안분석팀 연구원은 "이번에 발견된 '골든아이' 랜섬웨어는 기존의 MBR 감염형 랜섬웨어와 같은 형태"라며 "감염 시 정상적으로 부팅되지 않아 치료가 어려울 수 있어 사용자들의 주의가 필요하다"고 밝혔다.

이민우 기자 letzwin@asiae.co.kr